Hace unos meses que muchos usuarios están sufriendo en sus propias carnes la amenaza de los ransomware, un malware que se instala en nuestro ordenador y muy eficientemente elige ciertos tipos de ficheros (los que más nos suelen importar: documentos de texto, fotografías, vídeos, hojas de cálculo, bases de datos, etc..) y los cifra, para posteriormente mostrarnos un llamativo mensaje invitándonos a pagar un rescate a cambio del software necesario para descifrar dichos archivos.
La situación es complicada, pero pagar el rescate tampoco asegura la recuperación de los datos. La única solución realmente efectiva es tener una copia de seguridad actualizada e ir con más cuidado la próxima vez.
El personal que se dedica a la seguridad y a las comunicaciones ha establecido medidas para evitar las posibles infecciones. Se bloquean las URL desde las que se descarga el malware, se utilizan reglas más restrictivas en los servidores de correo para analizar los ficheros adjuntos maliciosos y se definen reglas del antivirus para bloquear la ejecución de software desde directorios temporales.
Esta última opción de bloqueo de ejecución funcionaba bastante bien, dado que el ransomware se descargaba a una carpeta temporal del ordenador y posteriormente se ejecutaba. Decimos funcionaba, porque poco después, las infecciones por Ransomware empezaron a aumentar nuevamente, y las reglas definidas no llegaban a pararlo. Algo había cambiado en el proceso de infección.
Nueva forma de infección
Al analizar las alertas del IDS recibidas de los nuevos equipos infectados se podía ver que antes de que se produjera la infección por ransomware y el posterior cifrado de los ficheros, se recibían alertas relacionadas relativas a Exploit Kits, concretamente Angler EK:
ETPRO CURRENT_EVENTS Possible Angler EK Landing URI Struct Jul 29 M1 T2 ETPRO CURRENT_EVENTS Possible Angler EK Flash Exploit June 16 2015 M1 ETPRO CURRENT_EVENTS Possible Angler EK Payload June 16 2015 M2 ET CURRENT_EVENTS Angler EK XTEA encrypted binary (11) M2 ET TROJAN Alphacrypt CnC Beacon Response
Los distribuidores del ransomware habían encontrado una nueva forma de distribuir el malware, evadiendo las medidas de protección y cumpliendo su objetivo de ejecutar el malware en el equipo de la víctima. La elección de un EK para infectar el equipo supone que podemos ser infectados simplemente visitando un sitio web comprometido. Así, mediante un mecanismo de Drive-by download se redirige al usuario al sitio web de descarga del Exploit Kit, que aprovecha las vulnerabilidades del navegador o de los plugins instalados, e infecta nuestro ordenador.
Una vez comprometido el navegador, se descarga el ransomware y se inyecta directamente en la memoria del proceso comprometido, ejecutándose sin haber sido escrito previamente a disco.
Angler EK
Estamos ante uno de los Exploit Kits más populares y sofisticados últimamente; hace uso de exploits clasificados como zero days y puede “transportar” entre su carga malware de diferentes tipos. Por si eso no fuese suficiente, integra varios componentes (HTML, javascript, Flash, Silverlight, Java) para evadir las medidas de protección e infectar a la víctima.
El proceso que usa el atacante consiste en comprometer un sitio web legítimo e inyectar código HTML o javascript en las páginas originales, desde donde se redirigirá al visitante a la “landing page”, el sitio web desde el que se distribuye el EK. Para conseguir esto Angler utiliza varios métodos:
- Redirecciones HTTP POST: inyecta elementos DIV y FORM además de código javascript para engañar al usuario mostrándole un pop-up. Al hacer pinchar sobre éste, se le redirige inadvertidamente a la página de descarga del exploit.
- Redirecciones HTTP 302: en este caso el código javascript se inserta en una página legítima para que cargue contenido desde un host aparentemente legítimo. Es este segundo el que se encarga de cargar un IFRAME que devuelve un código HTML 302 (Found) redirigiendo a la víctima al sitio de descarga del exploit.
- DGA (Domain Generation Algorithms): este método inyecta en el código HTML un script que genera los dominios desde los que se descargará el exploit.
Otra de las técnicas utilizadas por AnglerEK es el DNS shadowing. Esta técnica aprovecha la falta de atención que muchos registradores de dominios tienen sobre sus registros DNS, para modificarlos añadiendo subdominios y redirigiendo su resolución a direcciones IP en poder del atacante, dificultando así la detección.
Fileless infection
A principios del mes de septiembre del 2014 se detectó por primera vez un Angler EK usando este nuevo tipo de infección. La novedad de este método consiste en que una vez se ha conseguido explotar la vulnerabilidad y el payload ha sido descargado, la imagen del ejecutable, en nuestro caso un ransomware, se escribe en la memoria del proceso comprometido y se ejecuta. El ejecutable en ningún momento se escribe en disco, por lo que pasa completamente desapercibido para los antivirus.
Esta nueva modalidad de infección fue adoptada para la distribución de ransomware y se sigue usando a día de hoy con otros tipos de malware.
Contramedidas
La mejor defensa contra este tipo de malware es mantener actualizado nuestro navegador y los plugins que utilicemos (y no tener instalados plugins que no utilicemos), usar complementos de navegación segura para bloquear la ejecución de javascript, ayudarse de algún plugin que nos facilite datos acerca de la reputación del sitio web que visitamos, activar EMET (Enhance Mitigation Experience Toolkit, ver el enlace debajo) para intentar bloquear la ejecución del exploit y tener actualizada la versión de Java.
Además de estas medidas que podemos tomar, existen varios productos comerciales anti-exploit-kits de las compañias Invincea, Bromium y MalwareBytes.
Conclusión
Los medios de distribución e infección de malware estan cambiando para evitar ser detectados por los antivirus y realizar sus acciones de modo que sean invisibles a ojos del usuario. Como suele decirse pero con connotaciones positivas: “transparente para el usuario”.
La adopción de este nuevo método de distribución e instalación de ransomware en el equipo de la víctima, junto con la aparición de nuevas versiones (Cryptowall 3.0, TeslaCrypt 2.0, AlphaCrypt, etc) y la introducción de exploit kits diferentes (Neutrino EK, Nuclear EK) para su distribución, parecen indicar que el ransomware sigue siendo un malware rentable.
Referencias
- Un análisis muy interesante de Angler EK por Sophos: https://blogs.sophos.com/2015/07/21/a-closer-look-at-the-angler-exploit-kit/
- Primeras noticias de infecciones fileless: http://www.scmagazineuk.com/new-fileless-malware-spotted-in-the-wild/article/410402/
- Domain shadowing por Cisco: http://blogs.cisco.com/security/talos/angler-domain-shadowing
- Análisis de una infección de Angler EK: http://malware.dontneedcoffee.com/2014/08/angler-ek-now-capable-of-fileless.html
- Análisis de una infección fileless por Malwarebytes: https://blog.malwarebytes.org/exploits-2/2014/09/fileless-infections-from-exploit-kit-an-overview/
- EMET: https://support.microsoft.com/es-es/kb/2458544